党的二十大报告指出:“推进教育数字化,建设全民终身学习的学习型社会、学习型大国。”随着《教育信息化“十四五”规划》等相关政策文件的出台,高校普遍把教育数字化作为教育现代化的战略制高点,深入推进数字化变革,推动学校事业高质量发展。与教育数字化快速转型相伴随的,是网络安全方面的风险和挑战相应增多,对高校网络安全工作提出更高要求。
01 高校网络安全形势日益严峻
高校网络安全威胁日益加剧。境外APT组织将高校作为攻击目标,攻击频度和范围越来越大,攻击手段愈加高级和专业。而高校开放办学的特点使得其网络安全防护和管理存在极大困难。一是高校网络资产数量多、种类杂,包括信息系统、服务器、个人终端、物联网设备等;二是高校人员密集、计算机病毒容易扩散,高校人员流动性大、安全管理难度大;三是高校网络边界消失,师生到国内外开展学术交流、实习实践、科研协作频繁,教师对居家办公科研需求多,需要随时访问校内资源;四是大学生群体网络活跃度高,在频繁尝试各类新技术、新应用过程中,其使用的终端容易被攻击或利用。
02 坚持正确的网络安全观
习近平总书记对网络安全作出了一系列重要论述,多次强调要“树立正确的网络安全观”。这为做好高校网络安全工作提供了根本遵循和行动指南。
高校网络安全要坚持系统思维
高校网络安全是一个大的系统,涉及宣传教育、管理、技术防护等各个方面,与学校各个部门及全体师生都密切相关。另外,网络安全的问题会辐射到意识形态和稳定、思想政治教育、科研数据安全、师生生命财产安全等多个领域,具有牵一发而动全身的作用;网络安全的威胁来自四面八方,既有境外APT组织和境内不法分子的攻击,也有师生安全意识不强、防护技能不够导致的内部威胁。要坚持总体国家安全观,坚持系统观念,将网络安全作为学校稳定安全和信息化建设的重要组成部分,加强教育、管理、技术等各方面协调,一体化规划、推进、落实。此外,还需要主动寻求上级主管部门及公安机关的指导支持。
高校网络安全要坚持动态理念
网络安全工作是伴随网络威胁而生的,网络攻击和网络防护水平是“魔高一尺,道高一丈”,在攻防较量中交替上升的,因此要坚持动态平衡的网络安全理念,在动态清零中保护校园网络安全。一方面,系统漏洞、产品漏洞、管理漏洞的暴露是长期的,不可能一蹴而就、一次性发现和弥补所有漏洞;另一方面,攻击手段在不断进步,现有的防护手段无法保证未来一直有效。因此,现在安全不等于将来安全,更不等于永远安全,寄希望于通过一次集中的建设就能“毕其功于一役”、永保安全的想法是不科学的。
高校网络安全要立足开放环境
互联网已经成为高校开展人才培养、科学研究、社会服务、文化传承创新和国际交流合作工作的重要手段,开放的互联网已成为办学的重要基础条件。网络安全的保护对象就是网络上的信息系统、数据、终端等,离开了网络,也就失去了网络安全工作的意义。关网、断网、限制访问,只能作为面对网络威胁时的一种临时性、应急性措施,不能作为网络安全工作的经常性手段。网络安全工作的终极目标,应该是让师生在无感知的情况下,安全、便捷、自如地使用网络资源。因此,要立足于开放环境开展网络安全工作,坚持安全可控和开放创新并重,以高水平的网络安全保障高校进一步开放,保障师生利用互联网开展国内外交流的需求。
高校网络安全要坚持相对原则
法律法规和政策要求是高校网络安全的底线,等保是高校网络安全的红线,高校网络安全要守好底线红线,确保不发生责任事故。在此基础上,要结合校园网络价值、上级监管要求和能够投入的资源,合理确定较高的网络安全工作目标和定位,避免追求“绝对安全”、盲目投入的思想。网络安全是伴随网络软硬件的发展,伴随攻击手段,伴随威胁严重性而逐步发展的,网络安全无法超越当前的形势和需求而孤立发展。在技术上来说,网络攻防具有“不对称性”,“木桶效应”明显,攻击方在庞大、复杂的校园网络中发现一个漏洞或短板,就能实现“千里之堤毁于蚁穴”的攻击效果。从成本上来说,设定过高的网络安全目标,需要投入的经费、人力将大幅增加,对师生用网带来的限制也将增加,给学校的发展造成不必要的负担。
高校网络安全要营造良好生态
高校网络安全不是信息化部门一家就能做好的,需要依赖校内外的共同参与。要与公安、网信、教育行政管理等政府部门,与网络安全支持和运营企业,与供应链企业,与兄弟高校等加强沟通合作,畅通情报信息,形成工作合力;要全校各职能部门、师生共同参与,贯彻“网络安全为人民,网络安全靠人民”的理念;要利用学校网络安全、计算机等学科的能力,解决一些棘手的技术问题;还要积极参与国际互联网学术交流合作,宣传习近平总书记关于构建网络空间命运共同体的理念主张,参与制定全球互联网治理规则,向世界发出中国声音、中国主张。
03 加强网络安全管理
信息化从业者经常说“三分技术,七分管理”。技术和管理之间的权重是否是“三七开”是个值得商榷的话题,但管理工作在网络安全中起着举足轻重的作用,这一点早已形成共识,良好的管理体制机制是网络安全技术能够发挥作用的前提和基础。高校可从以下几个方面建立良好的校园网络安全管理体制机制。
一是做好校园网络安全顶层设计。网络安全工作是系统工程,其顶层设计至关重要。要与学校信息化规划同步做好网络安全长短期规划,规划要全面系统、科学合理、实事求是,既满足政策法规要求,又要贴合学校实际情况,能够落地执行。顶层设计要涵盖工作目标、工作机制、责任体系、技术防范、安全运维、宣传教育等各个方面。
二是细化校园网络安全责任体系。《党委(党组)网络安全工作责任制实施办法》是落实网络安全责任的权威文件和基本遵循,应结合学校实际,制定本单位实施细则。应明确党委书记第一责任人责任,明确分管学校网络安全工作的校领导为直接责任人,明确其他校领导在分管范围内的网络安全工作责任;要成立网络安全领导小组或相应的议事协调机构,明确其工作任务、工作流程、议事规则;明确学校网络安全建设和管理归口部门;按照“业务谁主管、安全谁负责”“谁主管、谁负责,谁运营、谁负责”的原则,明确其他职能部门的责任;尤其是要明确二级党委和单位的责任,要求各单位指定网络安全分管领导和联络员,并逐层压实责任,直至每位师生都对自己所管理和使用的终端负安全责任。
三是健全校园网络安全制度体系。随着依法治校、依规治校工作不断推进,高校普遍加强规章制度建设,推进各项工作不断规范化、制度化。网络安全工作在中央有党委责任制的要求,在国家法律法规层面也基本形成体系,在校内也应有相应的一系列制度来进一步细化和落实。通常来说,校内制度体系应涵盖网站和信息系统安全管理、网络资产管理、校园网实名制管理、账号及口令管理、各类终端安全管理 (包括个人终端和公用终端)、物联网系统和设备安全管理、数据安全管理、培训和宣传教育等方面。另外,还要有相关工作指南、操作规范、处置流程、应急预案等具体工作层面的标准化文件。
四是开展校园网络安全检查和考核。要常态化开展网络安全检查,检查内容包括:网络资产账实相符情况,网站和信息系统安全漏洞修复、安全口令设置、管理员权限维护,数据库备份;安全隐患整改,公用终端和个人终端管理情况 (公共终端要有专门的责任人,服务器和PC应按规定安装安全防护软件),开展网络安全教育培训情况等。要把二级单位工作情况纳入考核,加大对考核结果的利用。对网络安全工作责任制履职不力,造成损失的,要按规定进行问责处理。
五是举办校园网络安全宣传教育活动。宣传教育对做好网络安全工作具有事半功倍的效果。要打好网络安全“人民战争”,提高领导干部、师生的网络安全意识,树立安全用网的习惯。要按照党员领导干部、教师、学生等不同群体特点,制定相应的培训计划,实行积分管理;要利用国家网络安全宣传周、新生入学教育、领导干部培训、教职工培训等环节,打造网络安全宣传教育的品牌活动;要组织学生社团,开展网络知识竞赛、攻防演练等校园活动,形成浓郁的校园网络安全文化。
04 健全网络安全技术防护体系
网络安全技术防护体系是高校网络安全工作的重要方面,只有做到“看得见、摸得准”,才能“防得住、打得赢”。面对新形势、新要求,学校可通过“打造底座,夯实基础,锻造能力,强化运营,优化评估”等五方面建立技术防护体系能力。
打造底座:
建立高效数字化协同指挥机制
网络安全的本质是对抗,是攻防两端能力的较量。在高强度的对抗中,高效、灵活地协同指挥调度就成为克敌制胜的法宝。学校网络安全是“一张网、一盘棋”,要在数字化技术和信息化平台的加持下,形成一套安全协同指挥调度机制。针对重保态、护网态、演练态、监测态、应急态等不同时期的安全要求特点,将学校各部门安全管理人员、安全技术手段与第三方安全支撑团队等资源进行整合,建立一整套标准化、体系化、常态化的网络安全运营流程。其中既包括安全风险监测治理、安全事件应急响应、安全三同步管控等具有普遍意义的标准动作,也包含挖矿病毒溯源、无主资产清查、重保关键风险治理等解决实际问题的专项手段。通过合理分解各单位安全岗位的职能,辅助以平台或自动化工具的支撑,实现有限资源的灵活管理和调度。
夯实基础:
可信赖的数字化安全数据中台
学校信息化资产规模不断扩大,尤其是网络安全设备不断堆叠,产生了海量的安全日志数据。由于不同厂商的安全设备之间互联互通程度低,故而在安全体系内部形成了不同的数据孤岛。加之网络安全部门未能进一步对这些数据进行大数据挖掘,使得海量安全数据变成了“沉睡资产”。
校园网络安全保障应形成一体化和集约化的监测防御能力,首先要打破数据孤岛,实现安全数据层面的集中存储、分析和应用。学校可利用大数据技术将安全相关的各类数据汇入中台系统,包括信息资产、操作日志、身份验证和授权数据、漏洞和补丁信息、安全监测告警日志、云服务和虚拟化环境数据等13类200多个数据字段。经过数据清洗、转换、集成等预处理后,通过特征工程提取关键数据进行数据关联和建模,依据安全场景和需求逐步丰富、优化分析算法。例如,在挖矿病毒溯源场景中,可利用网络特征检测数据、第三方威胁情报数据、终端资产数据、网络认证数据、网络配置管理数据等进行联合分析响应,快速定位攻击源头和受害者并实施阻断,大大减少人工反复查询比对、跨部门沟通确认等工作量,缩短响应时间,提高工作效率。图1为数字化校园安全数据中台。
图1 数字化校园安全数据中台
锻造能力:
可拓展的IPDRR关键技术保障能力
随着攻防较量的持续演进,与新的安全威胁相对应的安全产品层出不穷,一味追求设备的堆叠不仅会增加沉重的管理和经济负担,也不能很好地发挥安全防护效能。因而,应在明确安全防护目标的基础上,形成科学、合理、适度的安全技术建设规划。为了确保建设过程中既能紧跟技术发展趋势,又能满足校园信息资产扩增的需求,学校可通过构建IPDRR模型,涵盖风险识别 (Identify)、安全保护 (Protect)、安全检测 (Detect)、安全响应 (Respond)、安全恢复 (Recover)等方面。在面对不同场景需求时,应统一规划、减少安全设备能力重复堆叠,建设过程中也要区分轻重缓急,保障现有安全风险大、基础薄弱的项目先行建设。
强化运营:
可持续的风险治理与应急响应机制
网络安全风险治理是一项重要的任务,既要对信息系统资产全生命周期安全管理,又要持续不断地开展安全监测和脆弱性闭环管理。随着资产数量的增加,业务体量也是呈指数级爆发,消耗大量的人力和资源。面对常态化的工作,建立一套标准化、精简化、科学化的管理流程是关键的第一步。
在信息系统资产全生命周期安全管理过程中,可以通过不间断地监测扫描,结合定期人工测试 (渗透、代码审计等)来识别存在的脆弱性风险,发现的隐患可以通过风险量化评价机制进一步评估。对风险值较高的隐患优先处置,对修补成本较高的隐患点可以从外围隐藏起来,让攻击者看不见,比如关闭端口、限制访问、资产隐匿等。
在安全监测方面,可以通过建立的安全数据中台对安全告警实现分析建模和弹性处置机制,依靠SOAR实现一般威胁的自动化封堵。高风险的安全事件通过安全预案和标准运营脚本指导各安全岗位人员进行快速决策、快速响应、快速恢复。
优化评估:
可监督的安全能力有效性评价体系
面对不断增加的安全投入和持续演进的复杂安全技术体系,网络安全建设是否真的达到预期成效,能否有效抵御暗流涌动的入侵威胁,是管理人员悬在头上的问号。高校应科学检验当前网络安全能力的建设效果,并以此为依据、科学指导下一步工作。可以通过运用人工审计、关键岗位访谈、钓鱼测试、工具评估、技术检查、模拟攻击等多种手段,对安全策略、安全意识、安全合规、安全流程、应急演练、能力覆盖等关键工作成果开展周期性评估,形成持续评价的机制,用于进一步改进安全建设和管理。图2为安全能力有效性评价体系。
图2 安全能力有效性评价体系
05
下一步,网络安全工作的重点
网络安全工作是复杂而长期的,一蹴而就、一劳永逸是不现实的,在某些情况下还可能因为突发的威胁而陷入被动的局面,校园网络安全工作需要不断建设、不断迭代、不断完善。
首先,统筹发展安全,不断适应教育数字化转型需要。高等教育数字化正在迅速推进,教育方式、学习方式、工作方式、生活方式都在发生剧烈的变化,这些都对网络安全工作带来巨大挑战。高校要进一步统筹发展和安全,为教育数字化保驾护航,进一步扩展信息化服务资源,扩大开放,推进国际化,促进资源流动和共享,以高质量的网络安全保障教育数字化转型的推进,保障高校进一步开放办学。
其次,落实安全责任,不断推进管理工作进步。网络安全管理工作要适应新的形势,不断完善工作体制机制,推动安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理更加科学化,还要根据新的变化、新的问题,创新开展工作。
再次,紧跟技术发展,不断更新网络防护技术体系。网络安全攻击技术发展迅速,新的安全威胁层出不穷。网络安全防护技术也在斗争中进步,以ChatGPT为代表的人工智能在网络攻防中发挥着越来越重要的作用,基于大数据的风险监测、预警技术逐步成熟,零信任的安全体系正在网络安全工作中得到推广,高校要根据安全形势和经费情况,积极引入新技术、新设备,提高网络防护效能。
最后,推动自主可控,不断扩大信创应用。相关国家在关键软硬件方面频频对我国“卡脖子”,在信息安全方面也不断爆出各类窃密事件。在实现高水平科技自立自强的迫切要求下,我国信创行业发展迅速。高校应积极推动信创产品使用,在网络关键设备,数据处理和存储的关键环节,率先实现替代。同时,高校要培养学生使用信创电脑、信创操作系统和软件的习惯,营造良好的氛围,推动信创生态不断发展。
来源:《中国教育网络》2024年2-3月合刊
作者:宋强、刘志伟、薛静、张文生 (西北工业大学信息化管理处)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。